Чому користувачі, створені на контролері домену, завжди є частиною домену?

Чому користувачі, створені на контролері домену, завжди є частиною домену?

Коли я хочу створити локального користувача на контролері домену net user <username> <password> /add, я виявляю, що користувач автоматично включається в Domain Usersгрупу.

Я хочу створити локальний обліковий запис адміністратора на контролері домену, а не на частині домену, який може інтерактивно входити в контролер домену та виконувати адміністративні завдання.

Чи можливо це?

windows active-directory

— Шучжен
джерело

Ні. Це неможливо.

— joeqwerty

Відповіді:

Локальні облікові записи зберігаються у файлі під назвою база даних SAM . Це існує на контролері домену - якщо ви завантажуєте контролер домену в режимі відновлення, тоді обліковий запис, який ви використовуєте для цього, є лише локальним обліковим записом адміністратора в базі даних SAM. Однак, коли Windows працює нормально, доступ до бази даних SAM відключений, і жоден з акаунтів у ній не може бути використаний. Це означає, що неможливо увійти в систему за допомогою локального облікового запису на контролері домену.

Однак це може бути зроблено, якщо ви раді працювати з командного рядка і якщо вам не потрібен доступ до мережі. Хитрість полягає в тому, щоб увійти як обліковий запис локальної системи. Windows не забезпечує жодного способу зробити це, але я це зробив, написавши простий сервер telnet, а потім запустивши його як службу за допомогою облікового запису локальної системи. Під час підключення до сервера telnet ви входите в систему як обліковий запис системи, а не обліковий запис домену. Єдині обмеження полягають у тому, що це лише командний рядок і системний обліковий запис не має доступу до мережі. Якщо ви збираєтеся використовувати такий хак, будьте дуже, дуже обережні щодо безпеки!

Хоча все це звучить як жахливий злом, він все ж має законне використання. Наприклад, у роботі ми використовуємо інструмент управління, який називається N-zmoючий, що дозволяє віддалений доступ до консолі на серверах, і це робить це, в основному, за методикою, яку я описав вище. Якщо я відкрию консоль на одному з наших контролерів домену і використовую команду whoami, я отримую:

Зноска

У Windows немає вбудованого методу відкриття віддаленого командного рядка, але, як згадує grawity у коментарі, утиліта psexec SysInternals може це зробити, і утиліти SysInternals надаються та підтримуються Microsoft, так що це, принаймні, є офіційним. Використовуючи psexec на одному з моїх серверів, я отримую:

D:\temp\psexec>psexec64 \\cheddar -s cmd.exe

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [Version 10.0.17134.345]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>exit
cmd.exe exited on cheddar with error code 0.

— Джон Ренні
джерело

Ви винаходили SysInternals psexec -s ?

— користувач1686

@grawity Я вперше зробив це в Windows NT 3.1 до того, як існували утиліти Sysinternals :-) Однак ви добре зазначаєте. Я забув, що psexec може це зробити.

— Джон Ренні

Точка взята. Хоча сподіваємось, оригінальний "широко відкритий" telnetd зараз не використовується?

— користувач1686

Ні, це неможливо. Контролери домену не мають власної бази даних аутентифікації. При зміні в Контролер домену він замінюється Active Directory.

— довга шия
джерело

Це відповідає "Чи можливо це?" від органу запитання, але не відповідає "чому" з назви. Будь-які написи на частині "чому"?

— Молот

Domain controllers don't have their own authentication database. It is replaced by Active Directory when promoted to a Domain Controller

це чому. Отже, це відповідає на те, чому.

— joeqwerty

@peterh Тільки Microsoft може знати, чому вони створили це так, але я сумніваюся, що вони знають. Під час моєї передачі на більшість запитань "чому" я мав відповісти "я це робив, тому що це було перше, що мені прийшло в голову, і воно спрацювало, і після цього ніколи не змінювати працюючу систему".

— Олександр

Чесно кажучи, якщо питання "Чому Microsoft спроектувала це так?" це питання, я б VTC. Будь-яка відповідь, яку ми б запропонували, була б чистою міркуванням (якщо б хтось тут не працював над цим проектом в MS circa 1999-ish?).

— Кетрін Вільярд

Тоді я був MS MVP для сервера Windows і робив деякі речі з бета-командою "NT 5" і ходив на кілька зустрічей, де обговорювали дизайнерські рішення. Аргумент тоді полягав у тому, що насправді не існувало такого поняття, як "локальний" дія адміністратора на контролері домену, оскільки щось може вплинути на домен. Хочете перезавантажити DC? Хочете додати або видалити роль? Хочете змінити налаштування DNS на мережевій карті? Усі потенційно можуть вплинути на здатність цього постійного струму обслуговувати свій домен, а отже, насправді не "локальний адміністратор" дії на постійному струмі.

— Роб Моїр